Archiv des Autors: hoohead

Leserfeedback WannaCry

Heute Morgen via Mailer reingekommen:

Machst du bittet bitte bitte einen Kommentar zu dem Tagesschaufail zu WannCry. Danke

Über WannaCry wurde ja die letzten Tagen auf so vielen Blogs und Seiten informiert, aber 3 mal bitte in einem Leserfeedback, da komme ich dem Wunsch natürlich nach *g.
Ich habe mal eben auf Youtube nachgeschaut und vermutlich ist dieser Beitrag der Tagesschau gemeint: Tagesschau auf Youtube

Was man bei so einem Bericht der Tagesschau berücksichtigen muss ist: Er ist für die Masse gedacht. Auch Omi(76) soll ihn verstehen. Berücksichtigt werden muss auch, dass der Journalist wahrscheinlich kein Informatiker ist und technische Gegebenheiten von ihm selbst nicht verstanden werden.
Wenn ich zum Beispiel einem technisch versiertem Menschen erzähle: „Die Sicherheitslücke wurde bereits im März von Microsoft via Update gepatcht“, ist uns sofort klar: „Ich muss meine Updates installieren, dann bin ich vor dieser Lücke sicher“.
Der „nicht technisch versierte Mensch“ erkennt diesen Zusammenhang überhaupt nicht und ist somit auch nicht in der Lage, wichtige Kernelemente so einer IT-Information zu begreifen und weiterzugeben.
Das ist meiner Meinung nach der große fail des Tagesschauberichtes, es wird von einer neuen Version gesprochen, der gegenüber wir alle hilflos sind.
Den Killswitch haben sie meiner Meinung nach massentauglich in den Bericht gebracht, dass der Nerd die ganze Nacht gegen die Weiterentwicklung gekämpft hat … naja, man wollte ihm vermutlich ein wenig schmeicheln
(Das ganze Internet zu hacken, das schafft übrigens nur der Typ aus „the Core“!)

Wichtige Informationen zu WannaCry sind meiner Meinung nach:

  • Die wurmartige Verbreitung ohne Nutzerinteraktion ist nur möglich, wenn eine direkte Verbindung zwischen Angreifer und Opfer besteht (über das Internet, oder im LAN).
    Eine Hardwarefirewall, wie sie üblicherweise bei Routern unserer ISP vorhanden sind, verhindert eine Infektion.
  • Es gibt bereits funktionierende Metasploit-Module zu EternalBlue/DoublePulsar, sprich auch Menschen die nicht in der Lage sind eigenen Malwarecode zu schreiben, können mittels Tool die Lücke ausnutzen die auch WannaCry ausnutzt -> andere Rechner hacken.
  • Infizierte Systeme werden automatisch zu weiteren Angreifern und können so auch hinter einer Hardwarefirewall die nicht gepatchten Systeme infizieren.
  • Windowsupdates regelmäßig einspielen, dann ist man auch vor WannaCry sicher & Systeme nur ins Netz forwarden, wenn dies zwingend notwendig ist.
  • Dadurch, dass bei EternalBlue/DoublePulsar eine direkte Verbindung zum Opfer, oder eine Nutzerinteraktion notwendig ist, bleibt diese „Welle“ meiner Meinung nach recht überschaulich.
    Meinem Vorgesetzten sagte ich neulich: „Wäre ich nicht Sysadmin oder für die IT-Sicherheit verantwortlich, würde ich diesen globalen Angriff als „Balsam für das Netz“ bezeichnen.

    Richtig lustig wird es erst, wenn die aktuelle Lücke im Windows Defender ausgenutzt wird. Wenn man die richtig umsetzt, ist richtig Stimmung im Netz! – Bericht auf Heise

    100k Challenge 2017

    Auch dieses Jahren werden Fanaticz und ich uns der 100k Challenge stellen.
    Genau wie im letzten Jahr ist das Ziel, mindestens 100 km in diesem Monat zurückzulegen, die gelaufenen km müssen dabei zusätzlich verbraten und nicht mittels Schrittzähler auf „Dienstwegen“ etc. ermittelt werden.
    Da ich mich Anfang des Jahrs in einem Fittness-Studio angemeldet habe und dort auch konsequent trainiere, viel mir der Start in diese Challenge diesmal wesentlich leichter.
    Bei meinem ersten Lauf war ich auf Dienstreise und ging die Strecke in relativ schlechten Straßenschuhen ab, die ~3 km die ich zuvor dienstlich in einer Stadtbesichtung und zum gemeinsamen Abendessen verbraten habe, wurden natürlich nicht mit gewertet. Dadurch auch die schlechte Durchschnittsgeschwindigkeit, Joggen war in diesen Schuhen nicht drin.

    Wenn kürzere Strecken erfasst werden, war ich danach noch beim Pumpen, ich möchte zumindest einmal die Woche Kraftsport betreiben, um nicht die erzielten Erfolge zu verlieren.
    In der kurzen Zeit sieht man natürlich noch nichts optisch, bei alltäglichen Dingen wie mal den Wäscheständern aus dem Keller holen, merke ich jedoch, dass dieser plötzlich ungewohnt leicht wird.

    Zu unserer Challenge wird es auch wieder ein Google-Sheet geben -> 100k Challenge 2017

    Debian unter Android

    Das Nokia N900 war damals ein recht geniales Handy, besonders hat mir die App (bzw. Erweiterung) EasyDebian gefallen.
    Damit konnte man auf die Debian Backports zurück greifen, ein Großteil der Software lief sogar unter dem kleinen Smartphone.
    Doch gibt es auch ein Debian unter Android? Es gibt nun eine ähnliche App, die fast annähernd so gut funktioniert.

    Debian unter Android: Termux

    Termux ist eine kostenlose Android App, die keine Rootrechte benötigt und auf eurem Android-System eine Debian ähnliche Umgebung bereitstellt.
    Dabei benötigt die eigentliche App nur wenige KB und stellt ein fast nacktes Minimalsystem zur Verfügung. Was man benötigt wird einfach mittels „apt-get install“ (oder „apt install“) nachinstalliert.
    Dinge die ich persönlich als nützlich empfinge: PHP, Python, Perl, Ruby, rtmpdump, nodejs, netcat, curl, wget, sslscan, nmap ….

    Es gibt zudem noch 2 Erweiterungen, die meiner Meinung nach äußerst sinnvoll sind.
    Die Termux-Api, damit kann man vom Script aus auf die Camera, die Kontaktliste, die SMS-Funktion (lesend und sendend), Infrarot-Frequenzen, Location (GPS) aber auch Funkzelleninformationen zugreifen.
    Das Termux-Widget ist leider ein kostenpflichtiges Addon, lohnt sich meiner Meinung nach aber, zudem hat man so auch die Möglichkeit den Entwickler für seine Programmierarbeit zu entlohnen.
    Das Termux-Widget kann auf einen Android-Desktop gelegt werden, worüber Shellscripte per klick ausgeführt werden können. Man spart sich somit das aufrufen der Shell und das mühselige Tippen.

    Dinge die von mir getestet wurden und funktionieren:
    Programmieren einer App in PHP, die über die Termux-Api Zelleninfo zugreift, die Funkzelleninformationen ausliest, diese über eine Onlinedatenbank abgleicht und die daraus gewonnen GPS-Koordinaten (die nicht in der Funkzelle hinterlegt sind) an Google-Maps übermittelt.
    Somit ist GPS-Tracking auch dann möglich, wenn die „Standort-Berechtigung“ deaktiviert oder GPS nicht zur Verfügung steht.
    Die verbundene Funkzelle ist in der Mitte von Google-Maps (leider nicht mit Pfeil gekennzeichnet).
    Demovideo

    Was auch geht, was ich hier aber nicht per Demo-Video verlinke:
    Programmieren eines PHP-Scripts, welches sich in einen One-Click-Hoster einloggt, sich dort „authentifiziert“, ein übermitteltes .dlc File decryptet und die enthaltenen Links mittels wget auf die Speicherkarte lädt. Dabei sind mehrere Instanzen von wget gleichzeitig möglich, unrar der Files funktioniert auch. Ich kann hier leider auch keine Code-Examples veröffentlichen … sollte verständlich sein.

    Links:

    Termux App
    Termux-Api Info
    Termux-Widget Info

    Debian unter Android

    Debian unter Android

    Einen Monat verzichten

    Wie im letzten Jahr, wollen Fanaticz und ich dieses Jahr wieder einen Monat lang die Handbremse anziehen und uns im Verzicht üben.
    Der Verzicht im letzten Jahr hat uns beiden gut getan, ich für meinen Teil hatte das Gefühl, ich würde während dieser Zeit intensiver leben und auch im Nachgang hielt das Sparen noch einige Monate an.
    Einen Teil des gesparten Geldes haben wir auch gespendet, was wir dieses Jahr auch wieder machen möchten.
    In diesem, genau wie letztes Jahr, setzen wir die Obergrenze auf 320 €, damit müssen alle Dinge finanziert werden, die nicht in den monatlichen Grundausgaben enthalten sind (bei mir: Miete+Nebenkosten, GEZ, Internet, Server, Versicherungen) … also Nahrungsmittel, Hygieneartikel, Sprit, Weggehen, Kleidung, Geschenke.
    Weiterlesen

    Umfragemanipulation

    Ein Leserfeedback, dass ich euch nicht vorenthalten möchte:

    Hallo, Hoohead!
    Heute mal wieder eine Umfrage Manipulation, es gibt momentan ja das schöne Jugendwort.de wo Jugendliche/Erwachsene ein Wort hochvoten können. Das ganze ist natürlich ohne IP Check oder dergleichen, somit kann man ganz einfach die Votes hochbotten!

    Hier mal ein Tool in Java geschrieben, geht wahrscheinlich auch noch um einiges kleiner. http://pastebin.com/J7QV7JrA

    Immer erstaunlich, das solche Firmen es nicht hinbekommen.

    Verfolge dich schon seit ein paar Jahren, habe dich per Zufall mal über YouTube gefunden :p Schönen Tag/Abend noch!

    Ich gebe zu, es ist schwer nicht manipulierbare Umfrage zu erstellen, man müsste da schon Ansätze wie die „DE-Mail“ umsetzen, eine Liste mit Proxys und E-Mailadressen könnte man sich für solche Votings anlegen und dann lustig faken …
    Deine E-Mail veröffentliche ich gerne, ich gehe davon aus dass Du den den Betreiber kontaktiert hast.

    Viele Grüße
    hoo

    Warum blogge ich nur so wenig?

    Ist jetzt auch schon wieder über 4 Monate her, dass ich den letzten Blogbeitrag verfasst habe, schon ein bisschen traurig eigentlich. Nicht dass es mir an Themen mangelt, das Problem ist, dass ich aus beruflicher Sicht heraus nicht über alles schreiben darf.
    Ein kleines Update zu meiner Fachinformatikerprüfung: Auch der praktische Teil ist bestanden und ich habe den Schein seit Juli in der Tasche.
    Meinen Nebenjob (Datenbankadmin) habe ich übrigens an den Nagel gehängt und gegen einen Sysadminjob bei einer Universität eingetauscht, hauptberuflich arbeite ich immer noch im Institut und habe dort auch nach wie vor eine Menge Spaß, insbesondere in meiner Verantwortung in der IT-Sicherheit ;).
    (Ab und an möchte man mich abwerben und manchmal fällt es echt schwer nein zu sagen, wenn das neue Aufgabengebiet spannend und im Welten besser bezahlt wird …).

    Im November wollen Fanaticz und ich wieder einen Sparmonat einlegen. Das machten wir bereits auch im letzten November.
    Wir werden beide wieder komplett gläsern unsere Konsumgewohnheiten für einen Monat ins Netz stellen und dabei darauf achten, mit möglichst wenig Geld über die Runden zu kommen.
    Ein Teil des Ersparten wird in gewohnter Tradition wieder gespendet, mir schwebt da auch schon was im Hinterkopf herum.
    Spätestens da kommen dann neue Beiträge.

    Gehirn im Finger

    Rein beruflich brauche ich ihn ja nicht, den Fachinformatiker für Systemintegration, da ich dadurch keinen beruflichen Vorteil erlangen werde.
    Aber da man grundsätzlich die Möglichkeit hat, sich der reinen Prüfung zu stellen, ohne auch nur einen Tag die Schulbank für diesen Ausbildungsberuf zu drücken, dachte ich mir: „Hey das kann lustig werden“.
    Die Grundvoraussetzung für diesen Nebeneinstieg: Man muss mindestens nachweislich 4,5 Jahre in dem entsprechenden Berufszweig gearbeitet haben und dies auch belegen können.
    Der Rest ist rein formell, Unterlagen einreichen, ich hatte noch einige IT-Fortbildungen, Zertifikate und ein Hammer gutes Arbeitszeugnis vom jetzigen Arbytegeber.
    Die Zulassung wurde von der IHK bestätigt und kürzlich war auch schon die schriftliche Prüfung, die sich in drei Aufgabengebiete aufteilt.
    Weiterlesen